Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Bridge Mode手動設定 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2331

shunze 離線
《分享》Bridge Mode手動設定引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Bridge Mode橋接模式,又稱Transparent Mode,
一般用於無法取代現有防火牆,但又想加強某區域安全性的一種做法,
Bridge Mode也是PoC時常用的一種測試架構。



將Bridge Mode防火牆設定在某區域連外的通道,
透過防火牆上的安全模組來分析、掃描流通其上的封包,藉以達到加強安全性的效果。
實際部署時,可選購 Hardware bypass模組,以避免Bridge Mode防火牆死機或斷電時,
Bridge Mode防火牆成為網路中的障礙。


在不透過Wizard的情況下,手動建立Bridge Mode的方式如下。

  1. 在 CONFIGURE > Network 中按下 Add Bridge 建立橋接配對網卡。



  2. 在Bridge Interface組態中,選擇兩張未使用的網卡,並設置其所屬Zone,例如LAN與WAN,
    然後設定其IP與該網段的Gateway IP相關資訊。


    ↑PoC時,請不要勾選“Enable routing on this bridge pair”選項!

  3. 完成後,在Network中就可看到此新增的橋接介面。
    點擊它,可展開其橋接網卡成員。



  4. 然後設定網卡成員間的防火牆規則。
    由於順子的範例中,兩張網卡成員分別屬於LAN與WAN,
    所以順子建立了LAN to WAN與WAN to LAN雙向開放規則。



    在這兩條規則中,因為都是內部傳導,不需要NAT,所以順子取消了NAT與Routing的相關設定!

  5. 最後,如一開始所述,部署Bridge Mode是為了加強某區域安全性的一種做法,那麼重點自然是在“安全性”這部分;
    不然在完全透通的情形下,不做任何安全性模組的套用,Bridge Mode只是增加了一個設備故障風險的節點。

    在橋接點內對外,外對內的雙向測試暢通無誤後,我們就可以在雙向的防火牆規則中,加入適合的模組來套用。
    以達安全防護的目的!



    Bridge Mode的設定到此完成∼


另外,Bridge Mode在部署時無法適用於以下場景,環境規劃時請留意。
  • Dynamic DNS
  • Multicast Routing
  • DHCP Client
  • IPsec VPN
  • VLAN
  • Virtual Host
  • PPPoE
  • Bridge (a Bridged Interface cannot be a member of Bridge)


此外,在Bridge Mode下順子測試過以下的Sophos應用場景是OK的,一併分享給大家。
  • Email Protect (Legacy Mode)
  • RED,需Mapping外部IP的TCP/UDP 3400,3410給XG。
  • Wifi Protection,需在Router中設一筆Host route 1.2.3.4指向XG。


參考資料
Deploy Sophos Firewall in Bridge Mode
https://community.sophos.com/kb/en-us/123276



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-11-30, 10:52 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2331

shunze 離線
《分享》Enable routing on this bridge pair是什麼?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在Bridge Mode設定中,有一個“Enable routing on this bridge pair”的選項可供勾選,
這個選項的功能是什麼?



Community上提問題後,得到如下的答覆。



簡單來說,在啟用routing的情況下,橋接點因為有進行routing,
所以從橋接對Port 4上來的流量往目的192.168.1.100送時,
會在橋接點做routing下車,直接往Port 3 (192.168.1.0/24網段)的192.168.1.100主機;
而回程時,192.168.1.100主機的gateway指向Port 3,所以會從Port 3上車,進行routing後往Port 4送。
完成對稱的來回交流。



而在不啟用routing的情況,
從橋接對Port 4上來的流量往目的192.168.1.100送時,會直接送到Port 5,
然後在外部routing完,傳送到192.168.1.100主機;
而回程時,192.168.1.100主機的gateway指向Port 3,所以會從Port 3上車,進行routing後往Port 4送。
形成不對稱的來回交流。

以上是XG上有Mix Mode (Bridge Mode與Gateway Mode並存)的情況下才會發生的情境,
在一般單純2 Port組成Bridge Mode的情況下,順子不建議勾選“Enable routing on this bridge pair”,
因為順子曾經遇到過勾選此選項後,造成LAN無法透過WAN連外的情況發生!
取消此選項後,一切變的正常,LAN也可以順利連外了...

透過Bridge Mode進行PoC時,建議不要勾選此選項,以免出現預期之外的狀況!
以上分享給大家∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-11-30, 12:05 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2331

shunze 離線
《分享》Bridge Mode的調整設定引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

XG預設部署方式是Gateway Mode,
在改成Bridge Mode後,有些系統參數需進行調整,
使用時才不會出現一些怪怪、不合理的現象。

這些原廠建議的調整指令如下。

set http_proxy add_via_header off
是否增加HTTP header堛漓ia資訊.預設值on,請設定為off.

set advanced-firewall tcp-est-idle-timeout 2700
TCP連線閒置的斷開時間,可接受值2700-432000,預設值10800,請改到最小的2700,以加速time,release已建立的session.

set advanced-firewall midstream-connection-pickup on
是否啟用midstream-connection-pickup機制,預設值off,請改為on.

set advanced-firewall tcp-seq-checking off
檢查TCP封包中的SYN與ACK號碼,預設值on,請改為off.

set advanced-firewall tcp-selective-acknowledgement off
TCP協定中的receiver回應sender已收到資料片段的一個確認機制.預設值on,請改為off.

set advanced-firewall strict-policy off
是否套用嚴格的政策機制.預設值on,請改為off.

sys auth cta unauth-traffic drop-period 2
未認證流量被拒絕的時間區間,預設值120秒,建議調整為2秒.

set service-param HTTPS invalid-certificate allow
HTTPS協定中,非法憑證是否允許.預設值allow,請確認是否為allow.


另外,還有Web堛pharming protection網址嫁接保護也要取消勾選。



順子在客戶端環境遇到這樣的情形,在XG以Bridge Mode的方式介接後,
原本可以對外提供服務的HTTPS站台都無法在外網連入了!
但HTTP的服務卻不受影響?

必需停用pharming protection,提供外網的HTTPS連線才恢復正常,
部署時,請注意此點。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-05-17, 22:55 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2331

shunze 離線
《分享》Bridge Mode下所有網頁都打不開?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

同事在使用bridge mode做PoC時遇到了一個奇怪的問題,
當啟用Web Filter時,所有網頁都打不開,
即便是選擇Allow All也一樣!

但改為none時,所有網頁卻都可以正常開啟了!
這是怎麼回事?


原來有沒有啟用web filter在封包的處理上有很大的不同,
當選擇為none時,XG不進行過濾,封包直接經由橋接配對送到另外一端。

但選擇其它web filter時,XG會以proxy的架構來處理封包,
封包會先停留在XG上,然後由XG比對pattern,判定這個封包該擋,還是放?

這時若XG本身無法更新pattern,那麼在檢查時就會出了問題,無法判斷該擋還是該放?
然後就造成了啟用web filter後,所有網頁無法開啟的狀況!

同事的這個案例,是因為環境中有兩個routing設備-既有防火牆與Core Switch,而XG就夾在兩個設備之間。
在這個案例中,XG的gateway指向既有防火牆與Core Switch都可以連外,所以也沒有想到會是gateway的問題。

直到後來發現雖然gateway指向既有防火牆可以通,
但XG的license sync與pattern update都會失敗,才發現是這個問題。
在將gateway改指向Core Switch後,問題總算順利排除。

至於環境中的gateway究竟是要指向既有防火牆還是Core Switch?
這要看環境架構而定。
不過一個簡單的測試方法就是去試license sync與pattern update,
成功了,就是對的;錯了,就改成另一個吧∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2019-12-25, 15:35 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR